В течение прошлого и текущего года активность вредоносного ПО Remcos остается высокой, а методы его распространения и скрытия постоянно эволюционируют. Злоумышленники рассылают фишинговые письма, содержащие зараженные файлы: вредоносные ярлыки (LNK), скрипты или документы. После открытия такого файла жертвой Remcos автоматически загружается и скрывается в системе, имитируя легитимные папки Windows.
Описание
После установки вредоносная программа предоставляет злоумышленникам полный контроль над компьютером, включая кражу паролей, запись нажатий клавиш и другие формы шпионажа. Для долговременного присутствия в системе Remcos использует скрытые методы, такие как создание заданий в планировщике задач или внесение изменений в реестр.
В последней кампании злоумышленники использовали скомпрометированные почтовые ящики, чаще всего принадлежащие небольшим компаниям или образовательным учреждениям. Это позволило снизить подозрительность писем и обойти спам-фильтры. Вложения, как правило, представляют собой архивные файлы (TAR), содержащие вредоносные ярлыки LNK.
Анализ LNK-файлов показал, что они содержат внедренный PowerShell-скрипт, который загружает зашифрованный в Base64 исполняемый файл (EXE) с сервера злоумышленников. После декодирования файл сохраняется на диск с расширением .pif - редко используемым форматом, который может ввести пользователей в заблуждение.
Полученный EXE-файл, скомпилированный с помощью Borland Delphi, был упакован и имел значок PDF, что делало его похожим на документ. При запуске он создавал копию себя, а также несколько пакетных файлов (.cmd) с запутанным кодом, содержащим случайные символы и текст на арабском или японском языках. Это усложняло автоматический анализ антивирусными системами.
Один из ключевых методов скрытности заключался в использовании специального префикса "\\?\", который позволяет обходить стандартные ограничения Windows на длину и формат путей. С его помощью вредонос создавал поддельные системные папки, например, "C:\Windows \SysWOW64" (с лишним пробелом), что затрудняло обнаружение аномалий.
Для обеспечения постоянного доступа злоумышленники настраивали задание в планировщике задач, которое запускало .URL-ярлык, в свою очередь, активирующий зараженный .pif-файл. Кроме того, Remcos изменял параметры реестра, отключая строгий режим контроля учетных записей (UAC), что позволяло вредоносу получать повышенные привилегии без запроса подтверждения у пользователя.
После успешного внедрения Remcos внедрялся в легитимный системный процесс "SndVol.exe" (отвечающий за управление звуком), чтобы скрыть свою активность. Затем он устанавливал соединение с командным сервером (C2), расположенным на хостинге OVHcloud, используя нестандартный порт 32583.
Эта кампания демонстрирует, насколько изощренными становятся методы скрытности вредоносного ПО. Использование обманных путей, поддельных папок и маскировки под системные процессы делает Remcos особенно опасным. Пользователям и ИТ-специалистам следует быть предельно внимательными к подозрительным письмам, необычным расширениям файлов и аномалиям в системных каталогах.
Индикаторы компрометации
Domains
- 5y9pfu.missileries-fenagle.yelocom.com
URLs
- siraco.net/acheck3.dat
SHA1
- 25591e9139b1c93e10ee2f22b86abb6da98785db
- 61fdc4135afdc99e106912aeafeac9c8a967becc
- 6235b00643e324ac5fea07f9adae9f2a0db56b99
- 647fa7a36ec8d553c7b431acfb74cb55b475fa0e
- bc7172dec0b12b05f2247bd5e17751eb33474d4e
- d14ffa3b95ae110794c1932581a0c3a0030521d4